http://devbusiness.ru/mkozloff

Экономический эффект от внедрения средств информационной безопасности (ИБ) компании «Код Безопасности», примеры расчета ROI

Универсальный метод, объясняющий

инвестору какую отдачу и с каким уровнем риска

принесут предлагаемые

инвестиции

Основа для принятия инвестиционных

решений и формирования

портфеля проектов

Финансисты не понимают язык ИТ и

ИБ

Return on Investment (ROI) Отдача от инвестиций

3

Выгода – Затраты

Затраты

ROI = * 100%

Безопасность – это бизнес-процесс,

требующий инвестиций

ROI достигается за счет снижения

рисков до приемлемого уровня в рамках конкретной

модели угроз

Угрозы, риски и вероятности их

проявления постоянно

изменяются

1.

2.

Модель угроз для

конкретной ситуации

Модель соответствую-

щих рисков

Вероятность проявления и

стоимость рисков

Стоимость средств

снижающих риски (ИБ -

отрицательный денежный поток)

Оценки возможности

снижения вероятности и

стоимости рисков при помощи средств ИБ

(положительный денежный поток)

2010 Data Breach Investigations Report

Verizon RISK Team in cooperation with the

United States Secret Service

*) Verizon Business RISK Team, “2009 Data Breach Investigations Report,” Verizon Business, April 2009

*) True Cost of Compliance Report, Ponemon Institute LLC, January 2011

The Value Of Corporate Secrets

How Compliance And Collaboration Affect Enterprise Perceptions Of Risk

March 2010, Forrester

Тип инцидента Стоимость инцидента

ИТ администратор

нарушил привилегии и

похитил данные

$452 238

The Value Of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March 2010, Forrester

vGate TrustAccess Инвентаризация HoneyPot

vGate Honeypot Manager

Инвентаризация TrustAccess

• Система SAM для

сбора, обработки и

систематизации

информации о ПО и АО

в корпоративной сети

• Распределенный firewall

для защиты физических

и виртуальных серверов

и ПК от НСД к ИС

предприятия

Код Безопасности vGate

Централизованная

установка

vCenter/vGate

20 ESX хостов (2CPU) 300 ВМ 3 администратора

Годовая з/п

администратора с

учетом накладных

расходов = $48к

Настройки ИБ

соответствуют

требованиям PCI DSS,

CIS, VMware Hardening

Ставка

дисконтирования 15%

Горизонт расчета 3

года

Ручная настройка виртуальной

инфраструктуры VMware для соответствия лучшим практикам CIS, VSHG и требованиям PCI DSS

Применение шаблонов vGate снижает время

настройки в 4 раза

Изучение основ ИБ VMware

Изучение требований VMware Security Hardening Best

Practices

Изучение требований CIS

Изучение требований PCI DSS

Ручная настройка параметров ИБ при

внедрении

Регулярные проверки и тестирование

настроек ИБ

Изучение администрирования средств управления

Настройка и управление

безопасностью консоли ESX

Вариант 1: «Ничего не делаем« (принимаем 100% риска) PV (3 года)

Штрафы PCI DSS -$1 141 613

Потеря важной информации -$2 716 695

-$3 858 308

Вариант 2: «Ручная настройка ИБ» (-95% рисков) Ручные затраты на compliance и настройку ИБ -$117 004

Потеря важной информации -$135 835

-$252 839

Вариант 3: «Автоматизация настроек ИБ с vGate» (-98% рисков) Затраты на vGate -$37 503

vGate снижает ручные затраты на 75% $87 753

Оставшиеся ручные затраты -$29 251

Потеря важной информации -$54 334

-$33 335 Данный расчет сделан с vGate ROI Calculator для вымышленной компании

Показатель Значение PV (3)

Выгода от снижения рисков ручной настройки $266 810 $219 503

Затраты на vGate $40 800 $37 503

NPV $226 010 $182 000

ROI 485% Выгода в месяц $6 278

Период окупаемости, мес. 7

Данный расчет сделан с vGate ROI Calculator для вымышленной компании

Код Безопасности TrustAccess

LAN

DMZ

МСЭ МСЭ

Интернет

DMZ

МСЭ МСЭ

Интернет

Облако

внешнего

провайдера

Виртуальные машины мигрируют в

гибридном облаке

Мобильные пользователи

TrustAccess — распределенный межсетевой экран с централизованным управлением для защиты от НСД к данным на физических и виртуальных серверах и ПК (VMware) в сети организации

Сервер

Рабочие станции пользователей

Сервер управления

TrustAccess

Администратор ИБ

DMZ

МСЭ МСЭ

Интернет

Облако

внешнего

провайдера

Виртуальные машины мигрируют в

гибридном облаке

Мобильные пользователи

Защищает данные от НСД на физических и виртуальных серверах и ПК, а не периметр сети

Не требует изменения существующей сети

Соответствие требованиям (152-ФЗ и PCI DSS)

Снижение риска потери информации

Сегментирование ПДн

• К1 = 18000 руб. на ПК

• К3 = 6000 руб. на ПК

Лицензии

Внедрение

Обучение администратора

Администрирование

Вы

год

а З

атр

аты

Централизованная установка, 1

администратор TrustAccess

5 серверов 150 ПК

Годовая з/п администратора с учетом накладных расходов = $48к

Снижение риска потери данных

после внедрения TrustAccess = 10%

Снижение риска штрафа по PCI

DSS = 8%

Сегментируем ИСПДн с К1 до К3

Ставка дисконтирования

15%

Горизонт расчета 3 года

• Данный расчет сделан с TrustAccess ROI Calculator для вымышленной компании. Защита 5-ти серверов и 150 ПК

• Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March

2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)

• Снижение риска потери данных из-за НСД на 10%, штрафов PCI DSS на 8% и снижения затрат на защиту ПДн за счет сегментации

ИСПДн при помощи TrustAccess

Риск Значение ПС (3 года)

Инвестиции 1 589 174р. 1 430 488р.

Выгода (снижение риска потери данных на 10%) 13 146 650р. 10 304 243р.

Фактор риска для выгоды 30% - 3 943 995р. - 3 091 273р.

NPV 7 613 481р. 5 782 483р.

ROI 404%

Выгода в месяц 211 486р.

Период окупаемости, мес. 8

Код Безопасности Honeypot Manager

Имитирует работу бизнес-приложений с похожими на реальные данными

Регистрация попыток НСД к информации

Уведомление о фактах НСД

Отчеты об активности нарушителей

Централизованное управление

Пользователь 1С 8.x

Неаутентифицированный

или неавторизованный

пользователь

X

X

X

Сервер приложений

1C: Предприятие 8.x

БД 1С (СУБД

MS SQL Server)

Имитационная СУБД

Honeypot Manager

Аутентифицированный

пользователь

Неаутентифицированный

или неавторизованный

пользовательСУБД

ИСПДн

Выявляет

инсайдеров и

попытки взлома

извне

Позволяет принять

необходимые

контрмеры

Снижает

финансовые и

репутационные

риски

Код Безопасности Инвентаризация

Аудит

• Количество компьютеров и серверов в сети

• Инвентаризация установленного ПО

• Инвентаризация аппаратных средств

Анализ

• Сопоставление закупленного и

установленного ПО

• Подготовка реестра ПО

Управление

• Принятие решения о отказе / продлении /

закупке лицензий

• Разработка документов и процедур

Правильное управление программным обеспечением

снижает стоимость владения ПК на 10-25% Источник: Gartner G00155774

Программный комплекс, предназначенный для сбора, обработки и систематизации информации о программном и аппаратном обеспечении, установленном на компьютерах и серверах в локальной вычислительной сети, функционирующих под управлением ОС Windows.

Инвентаризация ПО и аппаратных средств

Задание чёрного списка ПО

Инспекция компьютеров без установки

агентов(при наличии Active Directory).

Инспектирование компьютеров в сетях без наличия Active Directory, а также компьютеров не входящих в сеть

Определение второй установленной ОС

Работа по расписанию Накапливание

результатов инспекций

Оповещение по результатам инспекций

Ручной процесс КБ Инвентаризация

22 мин. на ПК

+ 30 мин. на реестр

0.5 мин. на ПК

+ 1 мин. на реестр

Ручное процесс

100*22+30=2230 мин. (37.17 чел./часа)

Автоматизированный процесс

100*0.5+1=51 мин. (без участия Администратора)

Экономия для одного аудита

37 часов * 17 EUR (стоимость 1 часа) = 629 EUR

Стоимость КБИ

100*12,4 EUR (100-500 ПК) = 1’240 EUR

ROI

После 2-х проведенных аудитов

Источники ROI в ИБ: рост эффективности

процессов и снижения рисков (ошибок, потери

данных, штрафов…)

Для СНГ нет публичной модели

угроз с финансовой оценкой рисков –

делайте свою

Детали бизнес-процессов и рисков = точность расчета

(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя

данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь

риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.

http://www.securitycode.ru

http://www.slideshare.net/mkozloff/roi-7039990

http://devbusiness.ru/mkozloff/about/